C
月内に
NTLMリレー攻撃を用いてブラウザセッションをハイジャックする新しいツール「ghostsurf」
📌 一言でいうと
NTLMリレー攻撃を用いてブラウザセッションをハイジャックする新しいツール「ghostsurf」が公開されました。従来のntlmrelayxのSOCKSプロキシではHTTP処理に欠陥がありWebアプリケーションへのアクセスが困難でしたが、ghostsurfはこれを解決し、特権アカウントによるWebベースのパスワード管理ツール(CyberArk等)への不正アクセスを可能にします。Windowsカーネルの認証メカニズムを回避し、Cookie窃取が不可能な環境でも認証済みセッションを維持できる点が特徴です。
🏢影響範囲
NTLM認証を利用してWebアプリケーション(特に特権アクセス管理ツール)を運用している企業や組織。
✅該当時の対応
NTLMの使用を停止し、Kerberosなどのより安全な認証プロトコルへ移行すること。また、SMB署名の強制適用や、EPA(Extended Protection for Authentication)を有効にしてNTLMリレー攻撃を防止することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】NTLMリレー攻撃によるブラウザセッションハイジャックツール「ghostsurf」について
お疲れさまです。NTLMリレー攻撃に関する新たな脅威情報の共有です。
■ 概要
NTLMリレー攻撃を用いてWebアプリケーションのセッションをハイジャックするツール「ghostsurf」が公開されました。従来のntlmrelayxでは困難だったHTTP処理の欠陥を解消しており、特権アクセス管理ツール(CyberArk等)などのNTLM認証を利用するWebアプリへの不正アクセスを可能にします。Windowsカーネルの認証メカニズムを回避し、Cookie窃取が不可能な環境でも認証済みセッションを維持できる点が特徴です。
■ 影響範囲
- NTLM認証を利用してWebアプリケーションを運用している環境
- 特に特権アカウント管理ツールなどの機密性の高いWebサービス
■ 対応手順
1. NTLM認証の使用を停止し、Kerberosなどのより安全な認証プロトコルへの移行を計画的に実施してください。
2. SMB署名の強制適用を検討してください。
3. EPA (Extended Protection for Authentication) を有効にし、NTLMリレー攻撃への耐性を高めてください。
■ 参考情報
- ghostsurf (NTLM Relay to Browser Session Hijacking)
対応優先度: 高(速やかな対策の検討を推奨します)
お疲れさまです。NTLMリレー攻撃に関する新たな脅威情報の共有です。
■ 概要
NTLMリレー攻撃を用いてWebアプリケーションのセッションをハイジャックするツール「ghostsurf」が公開されました。従来のntlmrelayxでは困難だったHTTP処理の欠陥を解消しており、特権アクセス管理ツール(CyberArk等)などのNTLM認証を利用するWebアプリへの不正アクセスを可能にします。Windowsカーネルの認証メカニズムを回避し、Cookie窃取が不可能な環境でも認証済みセッションを維持できる点が特徴です。
■ 影響範囲
- NTLM認証を利用してWebアプリケーションを運用している環境
- 特に特権アカウント管理ツールなどの機密性の高いWebサービス
■ 対応手順
1. NTLM認証の使用を停止し、Kerberosなどのより安全な認証プロトコルへの移行を計画的に実施してください。
2. SMB署名の強制適用を検討してください。
3. EPA (Extended Protection for Authentication) を有効にし、NTLMリレー攻撃への耐性を高めてください。
■ 参考情報
- ghostsurf (NTLM Relay to Browser Session Hijacking)
対応優先度: 高(速やかな対策の検討を推奨します)
Subject: [Security Advisory] Browser Session Hijacking via NTLM Relay (ghostsurf)
Dear IT Administration Team,
We are sharing information regarding a new tool called "ghostsurf" that facilitates browser session hijacking via NTLM relay attacks.
■ Overview
Ghostsurf addresses fundamental flaws in HTTP handling found in previous tools like ntlmrelayx, allowing attackers to access Web applications that support NTLM authentication (e.g., CyberArk Privileged Access Manager) via a SOCKS5 proxy. By bypassing certain Windows kernel authentication mechanisms, it enables session hijacking even in environments where cookie theft is not feasible.
■ Scope of Impact
- Environments utilizing NTLM authentication for Web applications.
- High-value targets such as privileged access management (PAM) tools.
■ Recommended Actions
1. Transition from NTLM to more secure authentication protocols, such as Kerberos, as soon as practical.
2. Enforce SMB signing across the network to prevent relay attacks.
3. Enable Extended Protection for Authentication (EPA) to mitigate NTLM relay risks.
■ Reference
- ghostsurf: From NTLM Relay to Browser Session Hijacking
Priority: High (Prompt implementation of mitigations is recommended)
Dear IT Administration Team,
We are sharing information regarding a new tool called "ghostsurf" that facilitates browser session hijacking via NTLM relay attacks.
■ Overview
Ghostsurf addresses fundamental flaws in HTTP handling found in previous tools like ntlmrelayx, allowing attackers to access Web applications that support NTLM authentication (e.g., CyberArk Privileged Access Manager) via a SOCKS5 proxy. By bypassing certain Windows kernel authentication mechanisms, it enables session hijacking even in environments where cookie theft is not feasible.
■ Scope of Impact
- Environments utilizing NTLM authentication for Web applications.
- High-value targets such as privileged access management (PAM) tools.
■ Recommended Actions
1. Transition from NTLM to more secure authentication protocols, such as Kerberos, as soon as practical.
2. Enforce SMB signing across the network to prevent relay attacks.
3. Enable Extended Protection for Authentication (EPA) to mitigate NTLM relay risks.
■ Reference
- ghostsurf: From NTLM Relay to Browser Session Hijacking
Priority: High (Prompt implementation of mitigations is recommended)